RSA enVision
Эффективный инструмент для работы с журналами событий.
На сегодня подавляющее большинство ИТ-инфраструктур (по некоторым оценкам, до 90%) строится на платформах Microsoft Windows. Как известно, операционные системы Windows обладают развитыми функциями в плане регистрации системных событий: в операционной системе ведется сразу несколько журналов событий («Безопасность», «Система», «Приложения» и пр.). Служба Eventlog активирована по умолчанию, а работа с журналами событий осуществляется с использованием многофункциональной оснастки EventViewer. На практике часто возникает потребность в анализе данных из журналов событий Windows, например с целью определения источника текущих неполадок либо для предотвращения возможных проблем. Проводить такой анализ вручную (последовательно работать с каждым журналом событий на каждом компьютере) чрезвычайно трудно. А в ситуациях, когда необходимо проанализировать журналы событий десятков или сотен компьютеров, определить частоту возникновения событий, взаимосвязь с другими событиями, ручной анализ становится абсолютно неэффективным. Опытные администраторы решают эту задачу путем разработки и использования сложных сценариев VBS-и PowerShell, например так, как описано в статье Брэндона Джоунса «Сценарий для чтения журналов событий» (опубликованной в «Windows IT Рго» № 3 за 2011 год). Пример кода, приведенный в статье Джоунса, демонстрирует, насколько трудоемкой является такая автоматизация работы с «логами».
Кроме того, это решение обладает низкой гибкостью, так как поиск возможен только по идентификатору события Event ID за определенный период времени, а аналитические возможности здесь практически отсутствуют.
И наконец, описанный инструментарий подлежит коррекции для каждой версии операционной системе (Б.Джоунс: «Сценарий в данном виде работает на компьютерах XP, но его можно приспособить и для запуска с другими версиями Windows»).
Существует еще один важный момент, на который стоит обратить внимание, —ограничение размера журнала, которое может привести к потере важных событий (максимальный размер журнала может достигать 4 Гбайт, но на практике этот параметр составляет не более 1 Гбайт). В этом случае использование даже отлаженных инструментов анализа не даст результатов. Таким образом, возможность обращения к записям, например, полугодовой давности становится все менее вероятной с регистрацией каждого нового события.
Чтобы обеспечить возможность глубокого ретроспективного анализа, администраторы практикуют использование программного обеспечения типа EventLogtoSysLog, которое необходимо установить на все компьютеры, а кроме того —организовать выделенный SysLog-сервер, осуществляющий централизованный сбор данных.
А можно ли решить задачу анализа журналов событий Windows более рационально? Безусловно, да. Эффективными и одновременно простыми инструментами для решения данных задач без использования программных «агентов» является Security Information and Event Management (SIEM), в частности - платформа RSA enVision.
Так, для анализа нескольких десятков или даже сотен журналов событий в RSA enVision достаточно выполнить несколько несложных действий:
- указать источники журналов событий;
- выбрать интересующие события (ID, период времени и/или другие параметры);
- получить результат —табличный отчет, гистограмму, круговую диаграмму и т. п.
При этом централизованное хранение событий в специализированной базе данных гарантирует формирование «слепка» информационной среды и возвращение к любому моменту жизненного цикла ИТ-инфраструктуры за длительный период времени.
Таким образом, в распоряжении ИТ-специалиста имеется мощный и гибкий инструмент, позволяющий:
- без привлечения программных «агентов» собрать Windows-события с десятков, сотен, тысяч систем;
- обеспечить хранение журналов событий в неизменном виде в течение длительного периода;
- выполнять аналитические действия любой сложности;
- одновременно работать с операционной системой разных версий;
- автоматизировать генерацию периодических отчетов;
- существенно разгрузить администраторов корпоративных сетей Windows.
Данный инструмент может использоваться для решения, с одной стороны, простых повседневных задач; например, если на компьютере периодически возникают проблемы при подключении к почтовому серверу Microsoft Exchange 2010, RSA enVision сигнализирует о сотнях попыток неудачных подключений в течение нескольких минут, после чего соединение устанавливается. Причина: пользователь после смены пароля доступа к почтовому серверу не произвел его обновление в веббраузере и спустя несколько минут после неудачного подключения использовал другой клиент для получения доступа. С другой стороны, инструмент применим и для задач более сложных. Например, группа компьютеров, обращаясь к внутреннему сервису, «зависает». Причина: некорректная настройка сервера DNS, приводящая к передаче рекурсивного запроса DNS наружу и возврату его на тот же порт, что создает цикл.
В заключение приведем несколько практических задач, которые можно решить подобным способом:
- определить количество (а при необходимости и источники) неудачных попыток локальной/сетевой регистрации в операционной системе;
- вывести все ошибки операционной системы или конкретного приложения;
- получить информацию о попытках очистки журналов событий;
- получить общую статистику событий на компьютерах по типам (количество и распределение по времени);
- выявить активность сотрудников на компьютерах в нерабочее время;
- получить информацию о печати документов (по сотрудникам);
- получить информацию об атаках, зарегистрированных брандмауэром Windows;
- получить данные по изменению полномочий пользователей и другим операциям администрирования учетных записей;
- выявить попытки несанкционированного использования чужих учетных записей.
< Предыдущая | Следующая > |
---|